Presentatie Logius 17 Septemb
Total Page:16
File Type:pdf, Size:1020Kb
Ontwikkelingen Nederlands (inter)netwerkverkeer Peter Smid, Peter Kort September 2019 Stukje proloog uit het nieuwe boek Huib Modderkolk 2 3 ‘De kwetsbaarheid van internet is een maatschappelijk vraagstuk’ › Het niet beschikbaar zijn van het internet leidt tot maatschappelijke problemen. › Andere voorbeelden hiervan zijn: – In financiële sector=> het niet kunnen afwikkeling van betalingsverkeer, bijv banken die door DDoS aanvallen overspoeld worden, zodat zij betalingen van burgers en bedrijven niet meer kunnen verwerken. – In publieke sector => niet kunnen inloggen op overheidsdienstverlening doordat DigiD en/of eHerkenning overspoeld worden door DDoS aanvallen. 4 Context kwaliteitspeering › Al geruime tijd zijn Distributed Denial of Service (DDoS) aanvallen tegen diensten van de overheid een fact of life. De huidige strategie van de overheid om met DDoS aanvallen om te gaan, is het laten verwijderen van DDoS verkeer door leveranciers met ‘wasstraten’. Met de stijgende lijn in het volume van de DDOS aanvallen is dit praktisch en financieel steeds lastiger vol te houden. Bij extreem grote aanvallen is het zelfs denkbaar dat de internetverbinding van een overheidsvoorziening verstopt raakt. In dat geval is de voorziening onbereikbaar voor burgers en bedrijven. › Daarnaast is het door bundeling van diensten en onderlinge afhankelijkheden van diensten niet meer voldoende dat “ieder voor zich” in voldoende bescherming voorziet, aangezien het uitvallen van één dienst grote invloed kan hebben op verschillende andere diensten. 5 Principe van kwaliteitspeering 6 Kwetsbaarheid intern overheidsverkeer via Internet Applicaties en Informatie van de overheid in overheidsdatacenters Internet (mobiel, bekabeld) Burgers Internet Internet (mobiel, bekabeld) Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) =>Introductie Diginetwerk Applicaties en Informatie van de overheid in datacenters Internet (mobiel, bekabeld) Diginetwerk Burgers Internet Internet (mobiel, bekabeld) Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) Kwetsbaarheid diensten aan burgers en bedrijven Applicaties en Informatie van de overheid in datacenters Internet (mobiel, bekabeld) Diginetwerk Burgers Internet Internet (mobiel, bekabeld) Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) Kwetsbaarheid diensten aan burgers en bedrijven Applicaties en Informatie van de overheid in datacenters Internet (mobiel, bekabeld) Diginetwerk Burgers Internet Internet (mobiel, bekabeld) Bedrijven Applicaties en Informatie van de overheid extern gehost (cloud) Onze klanten zitten grotendeels in NL ... Applicaties en Informatie van de overheid in overheidsdatacenters Nederlandse burgers en bedrijven in het buitenland Rest van de wereld Diginetwerk Nederland Burgers en bedrijven in Nederland Applicaties en Informatie van de overheid extern gehost (cloud) ...en DDOS bronnen buiten Nederland. Applicaties en Informatie van de overheid in overheidsdatacenters Nederlandse burgers en bedrijven in het buitenland DDOS aanval Diginetwerk Rest van de wereld Nederland Burgers en DDOS aanval bedrijven in Nederland DDOS aanval Applicaties en Informatie van de overheid extern gehost (cloud) => Introductie Kwaliteitspeering Vrije “busbaan” voor de klanten Applicaties en Informatie van de overheid in van de ISP’s in Nederland... overheidsdatacenters Nederlandse burgers en bedrijven in het buitenland Rest van de wereld Diginetwerk Nederland Kwaliteitspeering Burgers en bedrijven in KPN Tele2 Nederland Vodafone/ Ziggo Applicaties en Informatie van de overheid ... reduceert impact DDOS enorm. extern gehost (cloud) Drie soorten DDoS-aanvallen: › Volume-based aanvallen, › Applicatie aanvallen, die waarbij de aanvaller zoveel kwetsbaarheden benutten in bandbreedte creëert dat applicaties en diensten om netwerk verbindingen en deze uit te schakelen. systemen overbelast raken; › Protocol aanvallen, die er voor zorgen dat firewalls, load balancers en webserver niet goed meer functioneren; 14 Mogelijke Anti-DDOS maatregelen › Blackholing → Grofstoffelijk › DDOS wasstraten → Kostbaar › Content Delivery Networks → Statische Content, & sleutel (CDN) issues › Kwaliteitspeering → Lokale oplossing 15 Rest of Internet Prefixes Logius Prefixes BD Transitdomein Peeringdomein Transitdomein Burgers&bedrijven (klant KPN) Burgers&bedrijven (klant Tele2) Burgers&bedrijven (klant V/Z) Vodafone/ Equinix KPN Tele2 KPN Tele2 Prefixes klant KPN Prefixes klant Tele2 Ziggo Prefixes klant Vodafone/Ziggo NLIX Prefixes Logius+BD no export KwaliteitsPeeringPlatform Prefixes Logius Prefixes BD, KPN,Tele2, Vodafone/Ziggo Prefixes Logius, KPN,Tele2, Vodafone/Ziggo Prefixes BD Prefixes Logius Prefixes BD Diensten Belastingdienst Diensten Platform Logius belastingdienst.nl digid.nl 16 Status › Proof of Concept succesvol – Met KPN, Tele2, Vodafone/Ziggo › Meedoen aan grote DDOS test 19 oktober – Logius platform en platform Belastingdienst – Uitwerken testscenario’s – Jair Santanna Universiteit Twente betrokken › Ook andere benefits komen in beeld › In productie voor één Logius service (Q4) 17 Waarom NORA? › Basisprincipe is afnemers hebben › De continuïteitsafspraken zijn gemaakt eenvoudig toegang tot de dienst op basis van de afbreukrisico's die (BP03) afnemers lopen bij uitval. Afnemers verwachten 24 uur per dag, 7 dagen › Afgeleide principe (AP09) dat internet per week zaken te kunnen afhandelen, het voorkeurskanaal is voor burgers de continuïteit en beschikbaarheid van en bedrijven met de overheid. de dienstverlening is belangrijk (AP41). › Afbreukrisico van internet is dat continuiteitsafspraken end- to-end niet › De uitdaging is de continuïteit van het mogelijk zijn. Dit laatste is in strijd met gebruik van het internet te verbeteren. basisprincipe betrouwbaar (BP09) en de afgeleide principe is beschikbaarheid (AP 41). 18 Waarom staan wij hier? › Draagvlak creëren › Voor het verhogen van de continuïteit Digitale Overheid – Diginetwerk – Kwaliteitspeering ‘busbanen’ op internet 19 Wat wordt er van NORA gevraagd? › Interessante ontwikkeling? › Relevante ontwikkeling? › Hoe te verankeren in NORA? – Bijv. afgeleid principe dat het voorkeurskanaal Diginetwerk is voor onderling verkeer van de overheid. – Bijv. aanvullingen op AP41 beschikbaarheid: Beschikbaarheid van Internetverkeer tussen burgers en bedrijven en digitale overheidsdiensten wordt geborgd middels kwaliteitspeering. › Zelf toepassen van kwaliteitspeering methode? › Deelname aan een gebruikersoverleg? – Verstevigen van positie richting Internet Service Providers door het interessant voor ze te maken. 20 De oorlog is nog steeds gaande Er zijn nog steeds velen die dit niet weten. Wij wel! Wat hebben wij gedaan aan maatregelen? 21 Peter Smid Peter Kort Productowner Team Connect Netwerkarchitect Logius Logius T 06 25 45 23 96 T 06 15 04 83 24 [email protected] [email protected] Backup 23 Rest of Internet Transitdomein Peeringdomein Transitdomein Burgers&bedrijven (overig ) Burgers&bedrijven (overig ) Burgers&bedrijven in NL Vodafone/ Equinix KPN Tele2 KPN Tele2 Ziggo AS???? Nog niet aktief KwaliteitsPeeringPlatform Alternatief: Peeringverbinding met KPN en/of Tele2 Te realiseren verbinding tussen Kwaliteitspeeringplatform en platform Belastingdienst (Voorstel: E-line van Defensie tussen Equinix AM3 en ODC Apeldoorn) Diensten Belastingdienst Diensten Platform Logius belastingdienst.nl digid.nl 24 Rest of Internet Aanvaller NIKHEF Aanval op transit Aanval op transit AS???? Tele2 AS1257 Transitdomein Peeringdomein Transitdomein Burgers&bedrijven (overig ) Burgers&bedrijven (overig ) Burgers&bedrijven in NL Vodafone/ KPN Tele2 KPN Tele2 Equinix Ziggo AS286 AS13127 Nog niet aktief NLIX KwaliteitsPeeringPlatform AS210207 Geen impact voor klanten van KPN, Tele2 en VodafoneZiggo naar digid & belastingdienst Diensten Belastingdienst Diensten Platform Logius AS24595 AS62003 Geen impact op verkeer tussen digid & belastingdienst belastingdienst.nl digid.nl 25.